T1564.008: Правила скрытия эл. почты

Злоумышленники могут задать правила электронной почты для скрытия входящих писем в почтовом ящике скомпрометированного пользователя. Многие почтовые клиенты позволяют создавать правила для входящих писем, например перемещать письма в другие папки, помечать их как прочитанные или удалять. Правила можно создавать или изменять через почтовые клиенты либо с помощью внешних функций, таких как командлеты New-InboxRule или Set-InboxRule PowerShell в Windows.

Злоумышленники могут использовать правила электронной почты в почтовом ящике скомпрометированного пользователя, чтобы удалять и (или) перемещать письма в менее заметные папки. Злоумышленники могут таким образом скрывать предупреждения системы безопасности, коммуникации с командными серверами или ответы на электронные письма внутреннего целевого фишинга, отправленные из скомпрометированной учетной записи.

Любой пользователь или администратор в организации (или злоумышленник с действующими учетными данными) может создавать правила для автоматического перемещения или удаления писем. Злоупотребление такими правилами может привести к тому, что пользователь или специалист по безопасности не сразу заметит содержимое писем, что затруднит или замедлит обнаружение атаки. Вредоносные правила обычно отвечают за фильтрацию электронных писем по ключевым словам (например, malware, suspicious, phish и hack), встречающимся в теме или тексте письма .

В некоторых средах администраторы могут устанавливать правила электронной почты, которые применяются ко всей организации, а не только к отдельным почтовым ящикам. Например, в Microsoft Exchange можно использовать транспортные правила, которые проверяют всю входящую почту организации на соответствие пользовательским условиям и выполняют с ней указанные действия, если эти условия выполняются. Злоумышленники, эксплуатирующие такие функции, могут автоматически изменять или удалять все письма на определенные темы, в частности внутренние уведомления об инцидентах безопасности.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, связанных с подозрительным выполнением следующих командлетов PowerShell: New-InboxRule, Set-InboxRule, New-TransportRule, Set-TransportRule

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование правил электронной почты для скрытия входящих писем в почтовом ящике скомпрометированного пользователя. Отслеживайте подозрительную активность почтовых клиентов и приложений, например исчезновение сообщений, аномальные конфигурации и (или) записи журналов. В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение правил обработки потоков почты.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

В системах Windows и Exchange отслеживайте изменение или создание подозрительных правил для папки "Входящие" с помощью таких командлетов PowerShell, как New-InboxRule, Set-InboxRule, New-TransportRule и Set-TransportRule.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

В системах macOS отслеживайте изменения в файлах RulesActiveState.plist, SyncedRules.plist, UnsyncedRules.plist и MessageRules.plist.

Меры противодействия

IDM1047НазваниеАудитОписание

Корпоративные решения для работы с электронной почтой могут иметь механизмы мониторинга, включающие возможность регулярного аудита правил входящих сообщений.

В среде Exchange администраторы могут использовать пары командлетов Get-InboxRule/Remove-InboxRule и Get-TransportRule/Remove-TransportRule для обнаружения и удаления потенциально вредоносных правил входящих и транспортных сообщений.